技术方案
第一章 前言
1.1 项目概述 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)、自治区人民政府办公厅《关于全面开展全区政府网站安全等级保护工作的通知》(新政办函[2010]195号)等有关文件要求,制定本标准。针对《国家信息安全等级保护基本要求》针对不同安全风险提出相应的安全需求及系统要实现的安全目标。XXX网络以金财网为主,与其他政府网络物理隔离,主要用于运行XXX相关业务,为XXX至地市及区县各级XXX的纵向业务系统提供承载运行服务。目前XXX机房托管于市政府统一机房,外包运维公司统一管理。本次 XXX 等级保护工程建设,按照国家安全等级保护三级级目标进行建设,并按照等级保护的技术要求与管理要求进行技术与制度的完善。
1.2 建设原则
1、实用性,采用成熟技术,提出切实可行的系统工程解决方案。
2、先进性,所提供的技术在近年内具有一定的先进性,并与未来的新技术具有兼容性。
3、可扩展性,具有升级和扩展能力,提出的系统解决方案应能满足该系统业务发展的需要,在系统等级提升时,现有投资可得到有效利用;系统中配置的设备应便于维护和扩充,并具有支持多种物理接口的能力;提供的设备和软件具有升级和扩展能力。
4、开放性,遵循国际标准,支持多种网络协议,实现系统间互连。三级安全等级保护建设技术方案
5、经济性,系统的配置应充分考虑性能价格比,选择最优的技术方案。 6、可维护性,提供的系统应具有简单、方便的维护和管理手段及统计等功能,并尽量减少维护和管理环节。
7、可靠性与可用性,系统可用性应≥99.9 %。
8、系统安全,应具有不同级别的安全运行管理措施,如,用户识别、口令、访问控制级别和范围等功能;具有防止非法访问、记录全部登录过程、提供安全日志的功能。
1.3 项目的总体要求
1.3.1总体目标
XXX 安全等级保护建设,按照国家有关信息系统安全等级保护三级的基本要求,全面实现信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全,建立健全的安全策略和管理制度,使 XXX 网络达到国家三级安全等级保护要求,确保巴州 XXX 及的应用和数据的安全。
1.3.2技术要求
(1)具有对硬件故障产品进行替换的能力;
(2)具有系统软件、应用软件容错的能力;
(3)具有软件故障分析的能力;
(4)具有合理使用和控制系统资源的能力;
(5)具有记录用户操作行为的能力;
(6)具有对用户的误操作行为进行检测和报警的能力;
(7)具有防止设备、介质等丢失的能力;
(8)具有控制接触重要设备、介质的能力;4三级安全等级保护建设技术方案(9)具有对传输和存储中的信息进行保密性保护的能力;
(10)具有对通信线路进行物理保护的能力;
(11)具有限制网络、操作系统和应用系统资源使用的能力;
(12)具有发现所有已知漏洞并及时修补的能力 ;
(13)具有对网络、系统和应用的访问进行控制的能力;
(14)具有对数据、文件或其他资源的访问进行控制的能力;
(15)具有对资源访问的行为进行记录的能力;
(16)具有对用户进行唯一标识的能力;
(17)具有对用户产生复杂鉴别信息并进行鉴别的能力;
(18)具有对恶意代码的检测、阻止和清除能力;
(19)具有防止恶意代码在网络中扩散的能力;
(20)具有对恶意代码库及时更新的能力;
(21)具有保证鉴别数据传输和存储保密性的能力;
(22)具有对存储介质中的残余信息进行删除的能力;
(23)具有重要数据恢复的能力。。
1.3.3管理要求
根据国家信息系统安全等级保护三级的基本要求,制定和完善相应等级的管理制度系统。5三级安全等级保护建设技术方案
第二章 方案设计
2.1 信息系统现状
XXX 网络建设现状是目前 XXX 局网络为金财网地市网络结构,XXX 信息化建设相对比较完善,网络系统建设是信息化的神经,是 XXX 信息化建设的基础,网络系统的好坏直接影响到整个 XXX 的工作效率。XXX 的网络建设基本构架都已成型。并且相应的形成单独网络环境,有服务器区部署着应用和数据库服务器,并且在网络中也部署了相应的安全设备,如防火墙等。
大致网络拓扑图如下:
2.2 安全风险分析
网络方面的脆弱性
?? 网络的管理与监控机制尚不完善,无法对外部访问的合法性作出正确判断,缺乏对所采集的数据进行深入挖掘、详细分析和实时预警等功能,无法迅速阻断非法用户的入侵;
?? 通信传输没有采用校验技术或密码技术保证通信过程中数据的完整性,保证通信过程中敏感信息字段或整个报文的保密性。
?? 对于主干通讯网络及网络边界没有安全审计措施,对于远程访问用户的网络行为没有单独的行为审计和数据分析;
?? 对于关键网络节点处,没有检测、防止或限制从外部和内部发起的网络攻击行为的措施,没有对网络行为进行分析、没有实现对网络攻击特别是新型网络攻击行为的分析,没有当检测到攻击行为时,记录攻击源 ip、攻击类型、攻击时间的措施,在发生严重入侵事件是没有提供报警的措施;
服务器区
?? 对访问类型没有控制措施,可能会造成合法用户的越权访问,仍旧会导致机密信息外泄;
?? 对访问目标没有鉴别机制,将有可能使合法用户访问了攻击者蓄意假冒的目的,从而获得合法用户的帐号和口令,使攻击者具备访问网络的条件,从而更有效的发动对系统的攻击;
?? 对系统中的各类访问缺乏审计手段,将造成网络安全管理人员的“盲区”,网络安全管理人员无法了解到系统的运行情况和系统的访问态势,无法及时发现系统中存在的安全隐患,更谈不上采取安全措施了;
?? 对系统中各类日志信息缺乏关联分析将使网络安全管理人员陷入“一叶障目,不见森林”的误区,网络安全管理人员无法从全局的角度对系统运行情况和安全态势进行把握。
?? 信息网络缺乏有效的抗抵赖措施,导致发信者事后否认曾经发送过某条信息,或者接收者否认曾经受到过某条信息时,系统无法提供有力的证据。
系统方面的脆弱性
系统层安全评估
?? 对 XXX 网路而言,存在主要的风险是内部或外部人员可以通过一些技术手段取得系统超级用户权限,数据和应用被破坏。
系统层安全风险分析
存在以上漏洞的原因主要在于:
??用户安全意识淡薄, 没有意识到口令复杂的重要性.
应用层方面
WEB 应用服务器安全风险
?? 服务器崩溃,各种 WEB 应用服务停止;
?? WEB 服务脚本的安全漏洞,远程溢出(.Printer 漏洞);
?? 通过 WEB 服务获取系统的超级用户特权;
?? WEB 页面被恶意删改;
?? 通过 WEB 服务上传木马等非法后门程序,以达到对整个服务器的控制;
?? WEB 服务器的数据源被非法入侵,用户的一些私有信息被窃;
?? 利用 WEB 服务器作为跳板,进而攻击内部的重要数据库服务器。
?? 拒绝服务攻击或分布式拒绝服务攻击;
?? 针对 IIS 攻击的工具,如 IIS Crash;
?? 各种网络病毒的侵袭,如 Nimda,Redcode II 等。
?? 恶意的 JavaApplet,Active X 攻击等;
数据库安全风险
网络系统中许多关键的业务系统都运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全风险集中在:
?? 系统认证:口令强度不够,过期帐号,登录攻击等;
?? 系统授权:帐号权限,登录时间超时等;
?? 系统完整性:特洛伊木马,审核配置,补丁和修正程序等;
?? 数据丢失,操作日志被删除;
?? 数据库系统自身的 BUG;
?? 没有打最新的数据库系统的补丁;
?? 选择了不安全的默认配置;
管理方面
安全管理现状风险
XXX 安全管理制度的建设还不全面,如:
?? 缺乏统一的用户权限管理和访问控制策略,用户、口令、权限的管理不严密,系统的安全配置一般都是缺省配置,风险很大。
?? 对安全策略和制度执行状况的定期审查制度及对安全策略和制度符合性的评估制度不够完善。
?? 没有根据各类信息的不同安全要求确定相应的安全级别,信息安全管理范围不明确。
?? 缺乏有效的安全监控措施和评估检查制度,不利于在发生安全事件后及时发现,并采取措施。
?? 缺乏完善的灾难应急计划和制度,对突发的安全事件没有制定有效的应对措施,没有有效的机制和手段来发现和监控安全事件,没有有效的对安全事件的处理流程和制度。
?? 一些重要的安全管理岗位人员的职责过大,缺乏监督制约机制等。
人员管理风险
?? XXX 人员对安全的认识相对较高,但在具体执行和落实、安全防范的技能等还有待加强。
?? 由于对系统缺乏必要的技术监控手段,因此导致 XXX 安全管理人员很难对网络中的活动进行细致全面的掌握,网络活动对安全管理人员存在“管理黑洞”。?? 缺乏操作性很强的行为规范制度,使 XXX 网络信息用户无法正确地使用操作系统;
?? 网络的易用性与安全性存在矛盾,而 XXX 网络信息访问人员更倾向于采用简单的方法处理信息,因此往往对安全性重视程度不足,或者对安全访问手段缺乏常识,而导致误操作行为。
2.3 系统设计思路
2.3.1实现可信网络计算环境防御体系
可信网络计算环境的建设范围及重点,就是要对网络环境内各种网络和计算资源的安全性进行有效保护,从范围上包括网络设备安全、访问内容安全检测、通讯线路安全、服务器自身安全加强、应用安全等范畴。解决方案的总体思路是:用动态的安全策略,整合网关安全和应用安全产品,针对 XXX 信息系统,采用覆盖 7 层的主动防御的策略,提升 XXX 的网络的抗攻击能力,形成对上层应用系统的安全、可靠支撑,在现有网络规划的基础上,保障信息网络的高可用性。
针对 XXX 网路信息安全建设需求,在可信网络计算环境的方面主要的建设内容包含四个方面,分别是物理和环境、网络和通信、设备和计算、应用和数据,具体的措施和部署说明如下:
安全区域划分
参考 XXX 网络的总体组成示意图,将根据不同的平台来划分为不同的安全区域
边界访问控制设计
这里我们将 XXX 信息网络划分为内部办公区、内部应用区、网络管理区等多个区域,安全区域的划分还将随着 XXX 网络的拓展而扩充,划分的区域需要在其边界处,通过多种边界访问控制手段进行严格控制,杜绝非法访问。
随着信息技术的发展,边界访问控制往往与其他技术整合实现更为严密的纵深防护,比如边界访问控制设备提供对数据包内容的深度过滤和检查、与审计系统联动实现对访问过程安全性的审查、与终端安全管理平台整合实现可信接入和违规外联控制等内容。
针对 XXX 网络,在边界访问控制方面采取的技术主要包括以下两点:
1 引入防火墙,IPS,网络安全控制审计系统等。
2 配置 ACL 访问控制列表:在核心交换机上根据信息资产的类型划分 VLAN,,并通过 ACL 控制不同 VLAN 间的访问,杜绝非法访问。
多种技术手段的访问控制规则针对 XXX 网络的不同层面,和不同类型的信息资产,有效进行控制,形成可信网络计算环境的第一层保障。
实现全面安全审计
在实现上述两个环节的安全防护建设后,基本上形成了全面的网络安全防护平台,为用户提供了一个覆盖访问控制、访问内容检测等环节的可信网络计算环境,在此基础上,对 XXX 网络内各类访问行为进行记录就显得非常重要了。对于来自任何内部网络用户的 WEB 访问、文件传输访问、数据库访问等行为进行审计记录,并且可根据需要对用户操作行为过程和传输的数据内容进行回放,一旦发生网络安全事故,可以对系统内发生的与安全有关的事件进行分析与追踪,能够及时排查网络故障并挽回损失。
针对 XXX 信息系统,引入行为审计系统。我们在 XXX 网络进行旁路部署,审计各类网络访问数据包,然后记录在网管区域内的数据库内,提供给系统管理人员进行分析,从而有效掌握对服务器的访问状态。
服务器防护设计
作为 XXX 网络中最重要的信息资产-服务器,由于直接承载了各类应用系统,因此服务器的安全性、可靠性将直接影响了应用系统的安全性,是应用保障的核心环节,但由于服务器是工作在操作系统之上的,而商业化操作系统总是存在很多的安全问题,对服务器的核心防护就显得非常重要了。就是从根本上提升服务器操作系统的安全性,削弱超级用户的权限,并且高强度抵御安全威胁最严重的缓存区溢出攻击问题。解决了因操作系统进程、超级用户帐号被窃取进行攻击和系统注册表被毁坏而造成的安全问题。应当全面提升 XXX 网络中重要服务器的抗攻击能力,因此通过部署运维安全管理系统来实现。
2.3.2实现可信用户行为监管
由于终端设备分布的广泛性,使得对终端的安全防护成为难点,但是终端往往由于操作系统自身的漏洞,或者未安装有效的病毒防护系统,导致终端很容易成为市局信息网络中的安全短板,特别是由于终端设备的使用者缺乏足够的安全意识,在下载安装软件时,导致一些恶意代码,或者木马等程序被自动安装在终端设备上,从而使终端成为进一步攻击 XXX 局局信息网络的跳板,因此必须采取有效的终端安全管理系统,实现对终端设备的统一安全管理。
终端安全管理系统通过对桌面安全监管、行为监管、系统监管和安全状态检测,采用统一策略下发并强制策略执行的机制,实现对局域网内部桌面系统的管理和维护,从而有效地保护终端的系统安全,这里部署的终端安全管理系统,将针对 XXX 信息网络中的各类终端设备,通过该系统执行相应的安全策略。
2.3.3实现可信数据安全防护
在传统安全领域中,信息安全防护的核心是数据。在信息安全技术体系框架中,把可信网络世界中描述的客体实例化为数据,对数据的防护包含四个层面,分别为:
访问服务:包括本地访问和远程访问,主要实现数据或应用的访问控制,包括鉴别、授权。
管理服务:主要实现数据或应用访问的监控、审计,加密、策略管理,密钥管理。
数据服务:主要包括企业应用服务系统、企业数据库、电子邮件服务、文件系统等。
存储服务:主要实现数据的安全存储,数据生命周期管理等,包括物理存储、存储网络等。
数据的安全防护,从数据全生命周期的角度,XXX 采用专业的安全数据库,来实现对数据的有效保护,专业安全数据库采用了多级安全模型,对数据保护方面采取多种的安全机制。
2.3.4实现可信网络安全管理
在实现了可信网络计算环境、可信用户行为和可信数据安全后,将对信息系统访问过程的三大关键环节实现全面的防护,但是如果没有统一的策略管理、对安全事件缺乏统一的分析和反馈,那么在此基础上形成的防护体系将是一盘散沙;各类安全手段观察问题角度单一,之间存在安全盲区,对突发实现难以协调处理,不能为用户提供统一的预警、自动响应等功能;用户也很难全面了解网络的运行状态和趋势,无法提供统一的安全状态检测平台。
对 XXX 信息系统的安全管理也是一个非常重要的方面,系统必须具备相当的安全运维能力,能够有效进行资产管理、介质管理、网络安全管理、系统安全管理以及恶意代码防范管理等内容,从信息系统整体保护能力方面,要求信息系统能够实现统一安全策略、统一安全管理等技术,而运维安全管理系统则是以事件为核心,能够很好解决以上问题的有效措施。
2.3.5实现了数据的备份与恢复
数据的可靠备份往往是用户业务连续性计划的关键点,相关的技术也非常成熟。从建设方式上,采用本地备份。本地备份就是在本地网络计算环境中,利用存储介质,将数据定期进行备份;根据国家十二五信息安全建设要求,信息化数据安全已经显现非常重要,所以考虑 XX 市政府数据备份已经必不可少。根据 XXX局自身信息化建设的现状,当出现事故时(主机系统故障、主机房故障、整幢楼房故障、区域性的灾难等),需要各关键应用在没有数据丢失的情况下迅速地对外提供服务。对鉴别信息和重要业务数据在传输过程中的完整性进行检测;采用加密或其他保护措施实现鉴别信息的存储保密性;能够对重要信息进行备份和恢复,提供对关键网络设备、通信线路和数据处理系统的硬件冗余
2.4 总体建设流程
根据《信息系统安全等级保护测评过程指南》,XXX 信息系统安全等级保护建设先按照保护级别对网络的安全现状进行评估,找出与基本要求的差距,在进行整体安全规划设计,并形成相应的解决方案,最终形成完善的管理运维及故障应急响应等制度,使 XXX 信息网络符合等级保护三级的安全防护体系。
等级保护建设流程如下图所示:
2.5 详细技术方案
根据 XXX 等保建设项目硬件设备需求,本次巴州政府网站硬件部署相对简单,网络及网络安全设备以串联和旁路形式部署在网络中,在互联网边界部署天融信防火墙,WEB 防御网关串联在网站系统和 DMZ 区交换机之间,在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为破坏内部网络。并且起到防止来自外网的恶意攻击的作用。并且通过部署桌面安全管理系统及网络版防病毒软件来提高终端的安全性,部署运维安全管理系统和网络安全控制审计系统,规范内部用户的网络行为及管理员的操作行为,从而完善网络中的审计功能。
2.5.1.1 网络拓扑图
2.5.1.2 网络整体规划
优化防火墙对服务器区域的访问策略,为数据流提供明确的访问/拒绝能力,控制粒度为端口级,实现对 HTTPS、HTTP、SMTP、POP3、FTP、Telnet 等协议的控制和对单个用户访问应用服务器的控制。
针对服务器安全区域进行网络带宽优化,保证主要服务器的重要业务在高峰期能够正常运行及冗余。
配置行为审计设备,对网络设备,以及各应用服务器上的每个操作系统用户和数据库用户的访问行为进行审计,审计信息包括事件的日期和时间、用户、时间类型、事件是否成功等,并能根据需要生成审计报表,同时对审计记录有相应的保护措施。
在外网边界处部署入侵防御系统,对信息系统进行入侵检测保护,监测包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲溢出攻击、IP碎片攻击和网络蠕虫攻击等行为;可以记录攻击源 IP、攻击类型、攻击目的、攻击时间等,并在受到超过设定危险级别的攻击时提供报警。
在应用服务器区域部署服务器安全加固,对来自外部及内部网络的各种恶意行为进行有效防护。
配备网络管理监控设备及相关软件,对重要服务器及网络设备的 CPU、硬盘、内存、网络等资源进行有效的监控,并能够对系统的服务水平降低到预先规定的最小值时进行监测和报警。
部署非法外联控制设备,对用户网络接入实现准入和准出控制,对机关内部非法外联的网络行为进行监测和报警,能够确定位置并进行阻断,监测外部非授权设备的接入。
对主要网络设备、服务器操作系统和数据库的访问进行用户身份标识和鉴别,对同一用户具备两种或两种以上组合的鉴别技术进行身份鉴别,具备登录失败处理功能,限制口令的复杂度,可采取结束会话、限制非法登录次数和网络连接超时自动退出等措施,远程管理时有手段防止信息在传输过程中被窃取;可对管理用户的访问权限进行分离,仅授予管理用户所需最小权限,并将数据库和操作系统的管理特权分离。
对各服务器应用系统的重要程序和数据,系统管理数据、鉴别信息、重要业务数据等能够在传输和存储过程中进行完整性检测,并在完整性受到破坏后具备恢复措施,具备网页防篡改、系统和数据容灾备份等功能,当故障发生时自动保护当前所有状态,能够对系统进行完整恢复。
对重要服务器应用系统的访问资源进行有效控制,在双方通信中有一方在一段时间内未作任何响应,另一方能够自动结束对话;能够对系统的最大并发会话连接数进行限制;能够对单个账户的多重并发会话进行限制;对一个时间段内可能的并发会话连接数进行限制;能够对一个访问账户或者请求进程占用的资源分配最大限额和最小限额;可以对系统的访问行为进行优先级控制,并根据优先级分配系统资源。
2.5.2主机安全设计
为网络信息系统提供可靠、可控、可识别的服务应用环境,对各应用服务器和数据库进行相应的安全等级保护,包括用户身份鉴别、合法用户访问控制和安全审计、数据信息保护、入侵防范和防病毒、应用服务资源控制等内容。
三级要求:部署身份鉴别系统对各类用户进行身份鉴别;利用访问控制系统控制用户对资源的访问和权限分配;部署审计系统对用户行为等安全相关事件进行审计并记录,同时保护审计记录;安装防病毒网关,防御来自外部及内部网络的病毒攻击行为。
2.5.2.1 系统安全
系统安全主要是对主机设备安全配置安全,包括:提供软件设置、运行、管理日志,设置、运行、维护权限控制,并通过桌面安全管理系统对访问控制列表限制隔离、运行监控等。在服务器软件配置方面,需要及时打补丁。在数据备份和系统恢复方面,需要要求对重要数据采取有效手段进行备份和恢复操作。同时,还需要定期对系统内的操作系统、平台软件、应用软件进行安全性检查,关闭不需要的服务。
2.5.2.2 主机平台环境安全加固、优化。
安装桌面安全管理系统对服务器中都存在着不同程度的操作系统漏洞以及应用系统漏洞。针对 XX 地区政府网络系统服务器和数据库交换应用服务器,须定期对操作系统进行安全加固,如打安全补丁、安全配置等。进行统一分发补丁、统一策略管理,杜绝操作系统在以下方面的漏洞:
修补缓存区溢出漏洞
缓存溢出漏洞是一种很普遍的漏洞,广泛存在各种操作系统和应用软件上。缓存溢出攻击利用编写不够严谨的程序,通过向程序的缓存区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变。通过攻击存在缓存溢出漏洞的程序,入侵者可以使程序运行失败,造成系统当机、重启,甚至执行非授权指令,获得系统最高权限。
远程攻击漏洞
缓存溢出漏洞仅仅是可被用于远程攻击的系统漏洞之一,并不是唯一的入侵方式。在国际标准漏洞库组织的数据库中,收集了大量的可被用于远程入侵的系统漏洞。这些系统漏洞的存在都是对系统的威胁。安全的操作系统上是不应该存在这些漏洞。
权限管理
几乎所有的操作系统出于易用性的设置,系统中的权限设置都不是采取最安全的设置方案。这样的权限设置往往给系统带来一定的安全隐患。这些设置包括目录、文件的访问权限,应用服务的启动权限等。
2.5.3应用安全设计
2.5.3.1 应用安全防护
为网路信息及应用系统在被访问时提供可控、可识别、保密性强的应用服务管理,对各应用服务器和数据库在被访问过程中进行相应的安全等级保护,包括用户身份鉴别、合法用户访问控制和安全审计、数据信息保护并确保通信数据完整性和保密性、软件发生应用故障时能够及时恢复、应用服务资源控制等内容。
三级要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;启用登录失败处理功能,多次登录失败后应采取必要的保护措施;强制用户首次登录时修改初始口令;用户身份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全;同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
通过部署服务器加固防护系统实现实时深层防御、精确阻断,解决了应用系统风险防护、有效阻止对应用层的攻击行为。
2.5.3.2 网络安全控制审计系统
配置网络安全控制审计系统主要对网络设备,以及各应用服务器上的每个操作系统用户身份认证和数据库用户的访问行为进行审计,审计信息包括事件的日期和时间、用户、时间类型、事件是否成功等,并能根据需要生成审计报表,同时对审计记录有相应的保护措施,和桌面安全管理进行联动,最终能够达到身份认证、安全审计、准出和准入的功能。
2.5.3.3 身份标识、鉴别和授权措施
市 XXX 局应用系统需要采取身份认证授权机制,对系统管理用户、系统使用用户等不同人员,根据不同应用需求进行身份认证和权限控制。根据等级保护三级标准的要求,XXX 局网络系统的身份标识、鉴别和授权系统实现下面的基本功能:
1、基本实现 XXX 局网络系统的身份标识、鉴别和授权,建成基于网络安全控制审计系统的统一身份认证设施、授权管理基础设施的全网统一的分布式用户管理系统。
2、为 XXX 局网络系统提供各种应用的保密性、完整性、抗抵赖性和可用性服务,实现全网的可控性、可管理性和可监督性,从而提高应用系统安全强度和应用水平。
3、利用应用系统自身权限管理中心提供的用户,通过网络控制审计系统对用户进行授权和权限管理,同时要对应用系统的登录口令的复杂度按照等级保护三级的要求进行配置。
2.5.3.4 数据安全与备份恢复设计
市 XXX 局网络系统中业务数据是最重要的核心资产,数据安全及备份恢复系统的建立,是对市 XXX 局信息网络系统安全保障的基本要求。
通过磁盘阵列对信息系统、数据库系统、应用系统进行数据备份并对其制定数据维护计划,定时备份到本机,业务系统管理员定期全备到磁盘整列上;保证数据的完整性和有效性。为政府网站信息系统的应用数据提供可靠、完整性保密性强的数据应用管理,对各类业务数据和系统管理数据进行相应的安全等级保护,包括确保数据信息完整性和保密性、具备备份和容灾功能。
三级要求:采用校验码技术或加解密技术保证重要数据在传输过程中的完整性;采用校验码技术或加解密技术保证重要数据在存储过程中的完整性。采用加解密技术保证重要数据在传输过程中的保密性;采用加解密技术保证重要数据在存储过程中的保密性。提供重要数据的本地数据备份与恢复功能;提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;提供重要数据处理系统的热冗余,保证系统的高可用性。
2.5.4安全管理体系建设
2.5.4.1 安全策略建设
为确保 XXX 网络信息系统达到《基本要求》中三级管理要求,需要建立 XXX局自身的安全策略,规范 XXX 局的安全维护管理,促进安全维护和管理工作体系化、规范化,提高信息和网络服务质量,提高网络维护队伍的整体安全素质和水平,需要制定安全方针和系列安全制度和规范。安全方针的目标是为信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。
网络信息系统安全等级保护在达到相应级别的技术要求后,还须建立完善的安全管理制度,明确安全管理机构和人员责任。通过开展沟通、交流和研讨等活动,提高人员技术管理水平;通过安全管理培训、完善各类规章制度,强化管理人员安全意识;在运行维护方面需加强对机房环境、固定资产、存储介质、设备维护方面的管理并建档保存,保证政府网站信息系统各项安全制度和措施的落实。
安全策略是指导卡拉玛依市 XXX 局网络信息系统维护管理工作的基本依据,安全管理和维护管理人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。
安全策略的适用范围是 XXX 局拥有的、控制和管理的所有信息系统、数据和网络环境,适用于属于 XXX 局范围内的所有部门。对人员的适用范围包括所有与XXX 局网络信息系统的各方面相关联的人员,它适用于全部 XXX 局信息系统的员工,全部 XXX 局范围内容的维护人员,集成商,软件开发商,产品提供商,顾问,临时工,商务伙伴和使用 XXX 局网络信息系统的其它第三方。
安全策略体系建立的价值在于:
1. 推进信息安全管理体系的建立 –安全策略和制度体系的建设–安全组织体系的建设–安全运作体系的建设
2. 规范信息安全规划、采购、建设、维护和管理工作,推进信息安全的规范化和制度化建设
安全策略建设的必要性
XXX 局目前在安全管理方面颁布的一些零零散散的几个关于管理方面的规章制度,而且这些制度内容不全,指导性和可操作性都比较差,最重要的是体系性不强。XXX 局至今还没有建立统一的信息安全策略,所以在进行信息安全建设方面也没有清晰的指导方向,特别是在制定和执行具体安全管理制度的时候没有可以参照的安全标准和规范,选择技术手段或某种安全措施来实现信息安全防范的随意性也很大,这对于 XXX 局整体信息安全体系的建设造成了很大的困扰。统一的安全管理将直接影响全局,而安全管理则首先需要建立一套统一的安全策略体系。
在设计安全策略体系时,需要在一定的标准和理论指导下结合具体的实际情况进行研究分析。本次 XXX 局项目通过对网络信息系统的风险评估和安全需求分析,正是对实际情况的考察,因此也具备了建立 XXX 局统一安全策略体系的条件。
安全策略体系基本结构
一个国家政府机关其策略体系的基本结构安全体系是由两部分组成的。一部分是一系列安全策略和技术管理规范,另一部分是实施层面的工作流程。
XXX 局主策略是整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观策略。主策略具有高度的概括性,涵盖了技术和管理两个方面,对XXX 局各方面的安全工作具有通用性。
安全体系的第二层是一系列的技术规范和管理规定,是对主策略的分解和进一步阐述,侧重于共性问题、操作实施和管理考核,提出具体的要求,对安全工作具有实际的指导作用。
安全体系的第三层是操作层面,它根据第一层和第二层的要求,结合具体的网络和应用环境,制订具体实施的细则、流程等,具备最直观的可操作性。
安全体系也包含了实施层面的工作流程,结合三层安全策略,进行具体实施和检查考核,同时遵循动态管理和闭环管理的原则,通过定期的评估不断修改完善。
安全策略是在单位内部,指导如何对网络与信息资产进行管理、保护和分配的规则和指示。XXX 局必须制订并实施统一的网络与信息安全策略,明确安全管理的方向、目标和范围。安全策略必须得到管理层的批准、支持和承诺。安全策略应被定期评审和修订,以确保其持续适宜性,特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时。
XXX 局的安全策略是由安全体系三个层面的多个子策略组成的,具有分层结构的完整体系,包含了从宏观到微观,从原则方向到具体措施等多方面的内容。安全策略体系是安全体系的一部分,用来指导全网的网络与信息安全工作。
安全策略应用说明
安全策略管理工作流程
XXX 局的安全管理制度是在 XXX 局的信息安全策略方针下制定,XXX 局部门领导负责组织制定、组织执行安全制度策略,安全负责人负责审批和核准,安全管理员负责制订、修改和维护,在相关维护人员的协助下完成具体实施工作。
安全策略的发布与执行
针对 XXX 局安全策略和制度,首先需要通过合理的策略制定、策略可行性、可控性的论证;在安全策略基本认为没有问题可以推广执行后,需要开始着手策略的执行。
要把策略和制度有效的执行下去,需要通过合理的、有步骤的、有计划的实施安全策略系列文档制定后,必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外,还必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关部分的充分培训,保证每个人员都知道和了解与其相关部分的内容。
2.5.4.2 组织安全建设
现在计算机信息攻击者的攻击手段各种各样,技术水平不断提高,防御者处于被动状态,发现被攻击,马上进行补救的这种情况是十分可怕的。它所造成的危害是无法估量的,单靠某一个人或几个人的高技术是无法保障信息系统安全的。并且大多数的攻击或破坏来自内部人员。因此,必须建立组织机构,完善管理制度,建立有效的工作机制,做到事有人管,职责分工明确。对内部人员进行有组织的业务培训、安全教育、规范行为、制定章程等尤为重要。
XXX 局的安全管理工作目前主要是由信息中心的几名技术人员负责,安全领导管理小组负责安全建设的指导和决策,因为管理制度不完善,XXX 局信息中心的员工对自己应该负责的具体安全职责不够明确,所以有必要落实到具体的岗位,具体负责人。
安全组织体系
XXX 局安全管理组织体系实行统一组织、统一管理的方式,设置级别的独立于各部门职责的信息安全工作组作为的信息安全管理机构,负责单位范围的信息安全管理和维护工作。信息安全工作组共分为两个小组:领导小组和执行小组。
安全组织角色与职责
根据 XXX 局的企业结构和对安全工作的规划并结合业界的安全组织建设的经验,建议当前 XXX 局的安全组织角色和责任规划如下:
信息安全领导小组组长、副组长—-由 XXX 局主管网络信息及信息安全的最高级领导担任,负责整个信息安全工作组的工作方向定位,确立最高安全目标,制定信息系统建设的总体安全规划,对于网络安全方面的重大问题做出决策,并支持和推动网络安全工作在整个企业范围内的实施
信息安全领导小组组员—-由 XXX 局各主要科室领导组成。协助制定信息系统建设的总体安全规划并组织实施,协调某些跨部门的实施工作,监督和指导各部门范围的信息安全工作的贯彻和实施。
信息安全执行小组组长、副组长――由 XXX 局信息中心主管领导担任。定期向领导小组汇报执行小组的工作情况,负责网络安全的整体协调工作并提交网络整改计划;监督执行小组成员的日常岗位工作。
技术专员
安全管理员——负责公司信息安全工作的具体实施和有关信息安全问题的处理。
网络管理员——负责网络的安全管理、协调和技术指导。
系统管理员——负责服务器系统的安全管理、协调和技术指导。
业务管理员――负责应用业务系统的安全管理、协调和技术指导。
安全顾问组——聘请安全专家作为技术支持资源和管理咨询,主要向安全工作小组负责。
第三方安全管理
“第三方”通常是指软件开发商,硬件供应商,系统集成商,设备维护商,和服务提供商,实习生,临时工等。
一般第三方使用的访问类型有如下两种,这两种访问方式带来的风险截然不同
物理访问,如对办公室、机房的物理访问;
逻辑访问,如对信息系统、主机、网络设备、数据库的访问。对于物理访问的第三方,按照访问的时间长短和访问的性质,可以分为临时来访的第三方,和非临时来访的第三方等两种。其定义如下:
临时来访的第三方,指因业务洽谈、参观、交流、提供短期和不频繁的技术支持服务而临时来访的第三方组织或个人。
非临时来访的第三方,指因从事合作开发、参与项目工程、提供技术支持、售后服务、服务外包或顾问服务等,必须在 XXX 局办公和工作的第三方组织或个人。对于这两种短期和长期的实际物理访问,应该出台不同的管理规定,负责接待的部门和接待人对第三方来访的安全负责,并对访问机房等敏感区域持谨慎态度。对于逻辑访问,主要为维护服务商类和合作伙伴两类。维护服务商类包括软件开发商,硬件供应商,系统集成商,设备维护商,和服务提供商等,主要是工程建设和运行维护期间的对 XXX 局网络信息系统的访问。除了在本地访问,也会有远程访问。建议出台维护服务商的管理办法,至少包括如下内容:
维护商必须遵守移动的各项信息安全标准和管理规定;
必须签署保密协议,必须签署安全承诺协议,或在合同中规定相关的内容;
维护商对其维护目标的安全配置要求,必须符合相应的网络设备、主机、操作系统、数据库和通用应用程序等安全配置标准文档中相应规定;
维护商申请访问权限时,必须阐明其申请理由、访问方式、要求权限、访问时间和地点等内容,XXX 局的安全管理人员需要核实其申请访问权限的必要性和访问方式,评估其可能带来的安全风险,尽可能采取一些措施来降低风险。在风险可接受的情况下,才批准其访问权限的申请,并尽可能不给超级用户权限。
远程维护的日志审计等。
对于另一类第三方,主要是合作伙伴。原则上应该不信任他们,连接的接口应该采取访问控制措施,并尽可能采取安全措施来减小风险。但在某些情况下,访问控制措施难以部署,这种情况下,只有通过签署 SLA 等协议,通过约定和相应的法律来保证安全。
分支机构用户不属于第三方范畴,但是又有别于普通用户,是一类特殊的用户群。他们接入速率较高,对网络的影响也相对较大。同时,他们对网络安全的要求也较高。对分支机构用户的安全管理首先要明确安全边界,在边界实施一定的访问控制措施,对流量等参数进行限制。应建议分支机构用户有一定的安全管理措施和技术保障。
培训与教育
应定期对从事操作和维护信息系统的工作人员进行培训,包括:信息系统安全培训、公司的安全策略和规章制度培训、职业道德培训等等。这些培训必须得到 XXX 局领导的认同和支持。
安全技术培训
安全技术培训一般可分三个层次:领导层的应用安全管理培训,软件、硬件技术人员和应用系统管理人员的技术培训,计算机操作员的上岗培训。
对计算机系统的所有工作人员,都要进行不断的教育和系统地培训。从基层终端的操作员到系统管理员、从程序设计员到系统分析员、软件维护的所有技术和管理人员,都要进行全面的安全保密和职业技术教育与培训。
培训应该包括关于安全类型的信息,以及可以应用到网络系统开发、操作和维护等各个方面的每台机器的控制技术的信息。
负责 XXX 局计算机安全相关的人员更需要接受深入的关于下列问题的安全培训。
技术培训的内容应该包括以下范围:
最新的安全技术和安全动态;
对威胁和脆弱性进行评估的方法;
选择安全工具的标准和实施;
与安全对策相关的信息使用方法;
在管理系统用户时应该实施的对策;
在管理整个系统的信息时应该实施的对策;
在管理硬件、软件、通信线路与通信设备以及这些组合时应该实施的对策
在记录、分析和保管管理系统的工作历史、使用记录等时应该实施的对策;尤其是负责发布口令的人员需要经过适当的培训,以保证 XX 市政府的所有应用系统的口令都能达到相应的负责性。并且保证在用户出示正确的证件之后,恢复用户忘记的口令,防止不必要的损失。
对新员工的培训,强调数据的重要性,任何危及专用数据的非法行为,将受到纪律处分、开除、受到法律制裁。
安全策略培训
一个再好的、再健全的策略如果没有职员执行,也是没有用处的,所以 CIA镇加固要定期对安全策略进行培训。并且健立健全各岗位的规章制度,使得安全策略和所有的规章制度要落到实处。
通过这些培训要保证所有的计算机参与者都能够按照 XXX 局信息中心及其他部门颁发的安全策略或相关规章制度的要求进行工作。对员工的培训,需要强调数据的重要性,任何危及专用数据的非法行为,将受到纪律处分、开除、受到法律制裁。
职业道德培训
安全管理的核心内容即是对有关从事计算机人员的行为进行管理和约束的问题。所以计算机使用的职业素养的高低,包括其思想素质、职业道德素质、业务素质,直接关系到计算机信息系统的安全。据可靠数据显示,计算机信息系统的威胁主要地来自人,尤其是内部人员。一个人应该具有必要的工作责任心和不危害他人的公德。因此,除了计算机安全技术,从本质上讲,计算机信息系统的安全治理,是职业道德的培养与教育,或者说是培养具有不危害他人的公德。所有的工作人员除进行业务培训外,还必须进行相应的职业道德的培训,才能进入系统工作。
计算机职业道德是用以约束计算机从业人员以及与计算机活动相关的人们的言行指导其思想的行为规范的总和。计算机职业道德培训可以提高公司内部人员的素质,它能激励和督促职员恪尽职守,能增强职员的职业神圣感与荣誉感以及良好的职业习惯与职业心理,从而保证了计算机活动健康发展。
由于计算机的使用在很大程度上依赖于职员的主观能动性;所以,XXX 局的信息领导应该强调对下属员工定期进行的职业道德的教育与培训,通告这些培训使工作人员认识到违反计算机方面安全的严重性,达到安全管理的目的。
2.5.4.3 安全维护
安全维护的意义
XXX 局信息中心应当加强信息处理设备和系统的变更方面的管理和控制。对信息处理设备和系统改变的管理不够是当前 XXX 局信息中心最主要的问题之一。如果不能对变更进行适当的管理,很难保证软件和程序做的所有变更都能合格,容易出现信息故障或者安全事故。运行程序应当受到严格的变更管理的控制。当信息处理设备或系统程序改变时,必须要保留一份记录所有相关信息的审查日志。对于 XXX 局在今后的变更管理中特别应当考虑以下措施:
识别并记录重大变更;
对此类变更潜在影响的评估;
拟议中变更的正式批准手续;
把变更的所有细节通知相关人士;
能够确定从失败的变更中进行恢复时所承担责任的方法
风险评估
对主机系统和网络设备进行安全加固,首先必须考虑对系统进行安全检查,通过远程检测和本地检测的方式,对主机系统进行安全检查,从静态的主机信息,到动态的进程或是服务状态,直至文件或是日志等应用信息来发现系统存在的安全隐患,甚至包括系统中存在的病毒或是木马等黑客攻击信息。对于网络设备更要注重设备配置和安全策略的检查。
安全加固
由于网络的动态性,所以必须要对本单位的网络设备和服务器等系统定期进行安全增强和加固工作。建议 XXX 局应该定期进行安全加固的工作,经过安全专家增强工作后的系统或设备,除了免除现有安全漏洞的威胁外,系统的抗攻击性也会有极大的增强,使得系统保持在一个较高的安全线之上。
一般安全加固工作在操作系统级别上,会进行诸如系统后门检测、基本系统安全配置、口令与帐户安全、修补常见网络服务安全性问题等工作。在网络设备级别上,主要进行远程管理和维护的安全、口令安全性、配置确认与清理、系统升级与补丁安装等工作。在防火墙部分,主要进行远程维护安全性设置、防火墙规则的确认、审计与清理等工作。
应急响应
网络安全的发展日新月异,谁也无法实现一劳永逸的安全。因此当紧急安全问题发生,一般技术人员又无法迅速解决的时候,及时发现问题、解决问题就需要响应服务来进行支持。根据 NIST 文件中对事件管理的描述,紧急事件处理与应急计划以及支持和运作紧密相连。事件处理能力可以被视为应急计划的组件,因为它提供了对正常处理过程中断提供快速有效响应的能力。广义地讲,应急计划涉及到所有可能会中断系统运作的事件。事件处理可以被考虑为应急计划中响应恶意技术威胁的部分。
紧急情况可能包括以下情况:
管理员误操作造成的问题
违反网络安全规程,造成事故
应用程序设计漏洞造成的事故
黑客攻击造成,网络故障
大规模的拒绝服务攻击对整网造成严重的影响
安全通告
网络安全是一个不断演化的过程,所以应该时刻注意黑客攻击技术的发展和安全防范技术的最新演变,同时跟踪最新的漏洞补丁更新,掌握最新的安全动态。
安全通告的内容主要包括以下:
全球重要厂商安全通告
操作系统安全通告
其他应用系统安全通告
其他安全组织的安全通告
提供最新的安全形势报告、安全攻击报告、安全漏洞报告、安全事件报告
